CHECK LIST DELLE MISURE DI SICUREZZA ADOTTATE DA UNIMATICA SPA, NELLA SUA QUALITA DI RESPONSABILE DEL TRATTAMENTO, AI SENSI DELL ART. 32 DEL GDPR Gentile Cliente, il 25 maggio 2018 è entrato in vigore il Regolamento dell Unione Europea n. 679/2016 sulla protezione dei dati, noto anche come GDPR, e dato che la tutela dei dati personali è per noi molto importante, le indichiamo di seguito come Unimatica S.p.A., nella sua qualità di Responsabile del trattamento dei dati trattati per suo conto come da nomina ricevuta, si impegna ad adempiere alle prescrizioni del GDPR e ad applicare adeguate misure di sicurezza al fine di preservare la riservatezza dei suoi dati personali. Garanzie Istruzioni Organigramma interno DPO Riservatezza Diritti dell'interessato Violazioni della sicurezza Valutazione d'impatto Cancellazione dati Responsabilizzazione (accountability) Verifica (audit) Il Responsabile garantisce la messa in atto di misure tecniche ed organizzative adeguate a soddisfare i requisiti del GDPR ed assicurare la tutela dei diritti dell'interessato. Come da nomina, il Responsabile ha ricevuto dal Titolare idonee istruzioni su: a. natura, finalità e durata del trattamento b. tipo di dati e categorie di Interessati c. obblighi e diritti del Titolare Il Responsabile tratta i dati solo nei limiti delle istruzioni ricevute. Il Responsabile nomina "Incaricati del Trattamento" i propri addetti che accedono a dati personali e provvede alla loro formazione. Il Responsabile può anche nominare figure di "Responsabile interno". Il Responsabile ha nominato un Data Protection Officer (DPO). I dati di contatto del responsabile della protezione dei dati sono i seguenti: dpo@unimaticaspa.it. Le persone autorizzate dal Responsabile a trattare i dati personali sono impegnate alla riservatezza. Il Responsabile adotta misure di sicurezza adeguate, come indicate dal Titolare e previste dall'art 32 del GDPR, e assiste il Titolare nell'adozione delle stesse. Il Responsabile, su richiesta, assiste il Titolare nel dare seguito a richieste degli Interessati di esercitare i propri diritti. In caso di violazione dei dati personali (data breach), il Responsabile, su richiesta, assiste il Titolare nella notifica al Garante e nella eventuale comunicazione agli Interessati. Il Responsabile, su richiesta, assiste il Titolare nel caso si renda necessaria una valutazione dell'impatto dei Trattamenti sulla protezione dei dati personali ed una eventuale consultazione preventiva del Garante Al termine della prestazione dei Servizi il Responsabile restituisce o cancella i dati e le copie esistenti, salvo non sussista un proprio interesse legittimo che ne consenta la conservazione. Il Responsabile mette a disposizione del Titolare le informazioni per dimostrare il rispetto degli obblighi. Il Responsabile collabora, su richiesta, con le revisioni ed ispezioni da parte del Titolare o altro soggetto indicato. pag. 1 di 5
Registro dei Trattamenti Sub-fornitore Cooperazione col Garante Il Responsabile tiene un Registro dei Trattamenti. Il Responsabile è autorizzato dal Titolare a ricorrere ad un sub-fornitore (e nominarlo Responsabile). Il sub-fornitore deve garantire contrattualmente gli stessi obblighi in materia di protezione dei dati imposti dal Titolare al Responsabile. Il Responsabile coopera, su richiesta del Titolare, con l'autorità di controllo nell'esecuzione dei suoi compiti. Di seguito si indicano nel dettaglio le misure adottate dal Responsabile del trattamento ai sensi dell art. 32 del GDPR. N. Area Misura Note 1 Politiche Aziendali 2 Organizzazione L'Azienda possiede, applica, controlla e revisiona regolarmente una politica della sicurezza e l'ha resa nota a tutti gli incaricati. Ogni incaricato ha ricevuto lettera formale d'incarico, con specificati i suoi compiti, quali dati può trattare e per quali finalità 3 Organizzazione Tutti i collaboratori dell'azienda hanno ricevuto formazione rispetto ai principi di sicurezza ICT e della norma GDPR 4 Organizzazione Esiste una politica formale, effettivamente attuata, per evitare sovrapposizione di incarichi in conflitto d'interesse fra loro. 5 Controllo Accessi Esiste una politica formale, effettivamente attuata, per cui ad ogni incaricato sono assegnate una o più credenziali (userid e password) e la password è solo a lui o lei nota e riconducibile. 6 Controllo Accessi 7 Controllo Accessi Sono previsti meccanismi di autenticazione "forte" (a due fattori) per accedere a dati particolari (sensibili o giudiziari) o critici. Sui sistemi sono previsti meccanismi per prevenire l'uso di password "deboli" da parte degli utenti 8 Controllo Accessi Esiste una politica formale, effettivamente attuata, per cui sui sistemi, sulle applicazioni e sulle banche dati le password sono salvate con tecniche crittografiche e non in chiaro 9 Controllo Accessi Su tutti i sistemi sono previsti meccanismi per sospendere utenze inutilizzate per oltre sei mesi non attivati sui sistemi nei quali l'utilizzo è tipicamente sporadico (una o due volte all'anno) in base alle necessità pag. 2 di 5
10 Controllo Accessi 11 Controllo Accessi Esiste una procedura formale effettivamente attuata per cancellare prontamente utenze relative ad incaricati che cambiano incarico o lasciano l'azienda Esiste una procedura formale per evitare che uno user-id, precedentemente assegnato ad un incaricato, venga successivamente riassegnato ad altro incaricato 12 Controllo Accessi e Monitoraggio/ Logging Esiste una politica formale effettivamente attuata, ed i relativi meccanismi tecnici per cui gli accessi effettivi, od anche solo tentati, vengono registrati in un collettore di log, ovvero un sistema separato da tutti gli altri ed amministrato da persona non in conflitto di interesse (non da amministratori di altri sistemi) I log, oltre ad essere collezionati centralmente, vengono conservati a norma per garantirne la non alterabilità 13 Crittografia 14 Crittografia 15 Backup Tutte le comunicazioni (ove esistenti) fra le reti locali (LAN) dell'azienda o con LAN di partner sono criptate se attraversano reti pubbliche Se esistono sistemi remoti di Clienti o Fornitori, tutte le comunicazioni fra sistemi e stazioni di lavoro dell'azienda e sistemi remoti di clienti o fornitori sono criptate se attraversano reti pubbliche Esiste una politica formale effettivamente attuata, con i relativi meccanismi automatici, per l'esecuzione almeno giornaliera dei backup su supporti separati 16 Backup E' mantenuto uno storico dei backup per almeno trenta giorni 17 Backup I backup sono criptati 18 Backup 19 Backup 20 Politiche Aziendali I dati sono duplicati in sede separata e distante almeno dieci chilometri in linea d'aria Esiste una politica formale effettivamente attuata per provare, almeno ogni sei mesi, il recupero dei dati dai backup e la verifica dei risultati del recupero. Esiste una procedura formale effettivamente attuata per regolamentare l'uso dei servizi in rete (email, social, dischi in rete) 21 22 Esistono politica formale e relative procedure tecniche effettivamente attuate per rilevare, isolare e prevenire la diffusione dei codici maligni (malware) e revisionata per garantire la protezione da microinterruzioni, sbalzi ed assenza di energia elettrica UPS per sala server e singole Workstation 23 E' stata valutata l'opportunità di installare scaricatori a protezione dell'impianto elettrico struttura autoprotetta, presenti parafulmini nel giardino pag. 3 di 5
24 E' stata valutata l'opportunità di installare gruppi elettrogeni Gruppo presente elettrogeno 25 e periodicamente revisionata per garantire misure adeguate di protezione fisica 26 di condizionamento ambientale per le server room (se esistono) 27 di continuità operativa (Business Continuity Procedure) 28 e periodicamente revisionata per garantire la dismissione sicura dei sistemi e dei supporti 29 Adeguatezza delle misure / Diligenza L'Azienda ha valutato se esistono ulteriori misure di sicurezza non previste in questa lista Vedi punti seguenti 30 di aggiornamento dei sistemi operativi, soprattutto relativamente alle patch di sicurezza 31 Certificazioni L'Azienda è certificata ISO-27001 32 Fisica Sistemi Antintrusione 33 Fisica Sistema di guardiania e sorveglianza 34 Fisica Videosorveglianza Perimetrale 35 Fisica Sistema di Controllo Accessi tramite Badge 36 Fisica Armadi con serratura 37 Fisica Locali chiusi a chiave 38 39 40 41 42 Sistema Antincendio Soluzioni di Intrusion Detection Firewall Rete Privata Virtuale (Intranet) Installazione di Antivirus con aggiornamento costante ed automatico pag. 4 di 5
43 44 45 46 47 48 49 50 51 52 53 Utilizzo di Tecniche di Pseudonimizzazione Istruzioni al personale perché non lasci i terminali incustoditi Blocco dei terminali non utilizzati con ScreenSaver protetto da password personale Vengono adottate procedure di High Availability Esistono siti di Disaster Recovery Effettuazione di Vulnerability Assessment periodici Utilizzo di tecniche di cifratura Sussistenza di Piani di Data Recovery Sussistenza di Piani di Business Continuity Sussistenza di sistemi di Alerting in caso di anomalie Sussistenza di un sistema di Salvataggio e protezione dei Log Per chiarimenti può rivolgersi: all indirizzo email: privacy@pec.unimaticaspa.it dal lunedì al venerdì dalle 09:00 alle 18:00. Le porgiamo i nostri più cordiali saluti. Unimatica S.p.A pag. 5 di 5